网络攻击技术.ppt

网络攻击技术 Wu Yong 北京大学信息学院软件研究所 － 信息安全研究室 为什么要研究攻击技术 知己知彼，百战不殆 中国《孙子》 Pay attention to your enemies, for they are the first to discover your mistakes. Antistthenes, 440 BC 了解网络安全的重要手段 黑客攻击技术 网络防护的一部分 研究网络攻击，是为了更加有效地对网络进行防护 技术繁多，没有明显的理论指导 一些技术，既是黑客技术，也是网络管理技术，或者是网络防护技术 攻击的基本步骤 窥探设施 踩点 扫描 查点 列出用户账号 列出共享文件 确定应用 攻击系统 扫尾工作 安装后门 清除入侵痕迹 攻击技术一览 攻击系统中常用的攻击技术 网络探测 欺骗 会话劫持 拒绝服务攻击（DoS） 缓冲区溢出 口令探测 社交工程 物理攻击 木马 隐藏踪迹 网络攻击技术－欺骗 欺骗技术 IP欺骗 假冒他人的IP地址发送信息 邮件欺骗 假冒他人的邮件地址发送信息 Web欺骗 你连到的网站是真的吗？ 其他欺骗 DNS欺骗 非技术性欺骗 IP欺骗 IP欺骗的动机 隐藏自己的IP地址，防止被追踪 以IP为授权依据 穿越防火墙 IP欺骗的形式 单向IP欺骗 双向IP欺骗 更高级的形式：TCP会话劫持 IP欺骗成功的要诀 IP数据包路由原则：根据目标地址进行路由 IP欺骗（一） 简单欺骗 改变自己的IP地址 问题 只能发送数据包 无法收到回送的数据包 防火墙可能阻挡 实现手段 发送IP包，包头填写上虚假的源IP地址 在Unix平台上，直接用socket就可以 需要root权限 在Windows平台上，需要不能使用winsock 可以使用winpcap等工具 IP欺骗（二） 双向欺骗 关键技术－让回应包通过H H和A在同一个子网内部 使用源路由选项 IP欺骗（三） 如何避免IP欺骗 主机保护 保护自己的机器不被用来实施IP欺骗 物理防护、保护口令 权限控制，防止其他人随意修改配置信息 注意其他的安全措施 保护自己的机器不被成为假冒的对象 无能为力 网络防护 路由器上设置过滤器 入口：外来包带有内部IP地址 出口：内部包带有外部IP地址 防止源路由攻击 路由器上禁止这样的包 电子邮件欺骗 为什么要进行电子邮件欺骗 隐藏发件人的身份，例如匿名信 挑拨离间，唯恐世界不乱 骗取敏感信息 欺骗的形式 使用类似的电子邮件地址 修改邮件客户端软件的账号配置 直接连到SMTP服务器上发信 电子邮件欺骗的方法 与现实邮局进行比较 基本邮件协议没有认证机制 发信可以要求认证 电子邮件欺骗（一） 使用类似的邮件地址 发信人使用被假冒者的名字注册一个账号，然后给目标发送一封正常的信 电子邮件欺骗（二） 对于类似邮件地址的解决 使用数字签名 修改邮件客户端软件的账号设置 姓名（Name）属性，会出现在“From”和“Reply-To”字段中，然后显示在“发件人”信息中 电子邮件地址，会出现在“From”字段中 回复地址，会出现在“Reply-To”字段中，可以不填 保护用户免受修改邮件客户的攻击 查看完整的电子邮件头部信息 多数邮件系统允许用户查看邮件从源地址到目的地址经过的所有主机 电子邮件欺骗（三） 直接连到SMTP服务器上发信 telnet连到SMTP服务器的25端口，然后发送命令，常用的命令为： Helo、Mail from、 Rcpt to、 Data、 Quit 保护措施 邮件服务器的验证 Smtp服务器验证发送者的身份，以及发送的邮件地址是否与邮件服务器属于相同的域 验证接收方的域名与邮件服务器的域名是否相同 有的也验证发送者的域名是否有效，通过反向DNS解析 攻击者可以运行自己的smtp邮件服务器 不能防止一个内部用户冒充另一个内部用户发送邮件 Web欺骗 Web是建立在应用层上的服务，直接面向Internet用户 Web欺骗的根源 由于Internet的开放性，任何人都可以建立自己的Web站点 Web站点名字(DNS域名)可以自由注册，按先后顺序 并不是每个用户都清楚Web的运行规则 Web欺骗的动机 商业利益，商业竞争 政治目的 Web欺骗的形式 使用相似的域名 Cross-Site Scripting Web欺骗（一） 使用相似的域名 注册一个与目标公司或者组织相似的域名，然后建立一个欺骗网站，骗取该公司用户的信任，以得到这些用户的信息 例如：使用来混淆 如果客户提供了敏感信息，那么这种欺骗可能会带来更大的危害 用户在假冒的网站上订购了一些商品，然后出示支付信息。 假冒的网站把这些信息记录下来并分配一个cookie，然后提示：现在网站出现故障，请重试一次。 当用户重试的时